More

    Dois DDoSes record divulgados esta semana destacam sua crescente ameaça


    Aurich Lawson / Getty

    Ataques distribuídos de negação de serviço – aquelas inundações de tráfego indesejado que os criminosos usam para interromper ou derrubar completamente sites e serviços – têm sido um flagelo na Internet, com eventos que prejudicam regularmente os meios de comunicação e os repositórios de software e, em alguns casos, trazem grandes partes na Internet, parado por horas. Agora, existem evidências de que os DDoSes, como costumam ser chamados, estão se tornando mais potentes, com dois ataques recordes surgindo na semana passada.

    Os operadores de DDoS cortam milhares, centenas de milhares e, em alguns casos, milhões de dispositivos conectados à Internet e aproveitam a largura de banda e o poder de processamento. Os atacantes usam esses recursos ilícitos para bombardear sites com torrentes de pacotes de dados com o objetivo de derrubar os alvos. Os invasores mais avançados aumentam seu poder de fogo, recuperando o tráfego malicioso de serviços de terceiros que, em alguns casos, podem ampliá-lo em um fator de 51.000, um feito que, pelo menos teoricamente, permite um único computador doméstico com 100 megabits por segunda capacidade de upload para fornecer 5 terabits inimagináveis ​​por segundo de tráfego.

    Esses tipos de DDoSes são conhecidos como ataques volumétricos. O objetivo é usar máquinas distribuídas pela Internet para enviar ordens de magnitude mais volume de tráfego para um circuito do que ele pode suportar. Uma segunda classe – conhecida como ataques focados em pacotes por segundo – força as máquinas a bombardear equipamentos ou aplicativos de rede dentro do data center do alvo com mais pacotes de dados do que eles podem processar. O objetivo nos dois tipos de ataques é o mesmo. Com a capacidade de rede ou processamento totalmente consumida, os usuários legítimos não podem mais acessar os recursos do destino, resultando em uma negação de serviço.

    Impactos negativos extremamente desproporcionais

    Os ataques DDoS nas últimas duas décadas se tornaram cada vez mais poderosos. Os que um canadense de 15 anos usou em 2000 para derrubar o Yahoo ETrade e o Buy.com mediram centenas de megabits por segundo, aproximadamente comparáveis ​​a muitas das conexões domésticas de banda larga atuais, mas o suficiente para entupir os oleodutos dos sites com bastante tráfego para bloquear completamente as conexões legítimas.

    Em 2011, os invasores aumentaram os DDoSes para dezenas de gigabits por segundo. Ataques recordes atingiram 300Gbps, 1,1 terabits por segundo e 1,7Tbps em 2013, 2016 e 2018, respectivamente. Embora menos comuns, ataques por pacote por segundo seguiram uma trajetória ascendente semelhante.

    A corrida para cima não mostra sinais de desaceleração. Na semana passada, a Amazon informou que seu serviço de mitigação de DDoS Shield da AWS enfrentou um ataque de 2,3 Tbps, um aumento de 35% em relação ao recorde de 2018. Enquanto isso, o provedor de rede Akamai disse na quinta-feira que seu serviço Prolexic repeliu um DDoS que gerava 809 milhões de pacotes por segundo. Trata-se de um aumento de 35% em relação ao que se acredita ser a marca d’água anterior dos 600Mpps DDoS que Roland Dobbins, principal engenheiro do serviço de mitigação Netscout Arbor, disse que sua empresa lidou.

    “Prevemos a inovação contínua na área de vetores de ataque DDoS devido às várias motivações financeiras, ideológicas e sociais dos invasores”, disse-me Dobbins. “Os ataques DDoS permitem que os atacantes tenham um impacto negativo extremamente desproporcional sobre os alvos pretendidos para os ataques, bem como sobre os espectadores não envolvidos”.

    O ataque, que Akamai disse ter atingido um banco europeu sem nome, foi notável pela rapidez com que ele aumentou. Como a imagem abaixo ilustra, os invasores precisaram de menos de três minutos para liberar seu pico de 809 Mpps.

    Akamai

    Amplificando o poder de fogo

    Uma das inovações mais recentes que os DDoSers encontraram é a exploração de servidores mal configurados que executam CLDAP, abreviação de Connectionless Lightweight Directory Access Protocol. Uma derivação da Microsoft do padrão LDAP, o mecanismo usa pacotes do User Datagram Protocol para consultar e recuperar dados de servidores da Microsoft.

    Embora o CLDAP deva estar disponível apenas dentro de uma rede, Dobbins disse que a Netscout identificou cerca de 330.000 servidores que têm o mecanismo exposto à Internet em geral. Os atacantes apreenderam este erro em massa. Ao enviar solicitações CLDAP de servidores mal configurados com endereços IP falsificados, os servidores bombardeiam involuntariamente alvos com respostas 50 ou mais vezes maiores.

    “É frequentemente negligência administrativa que permite que esse ataque exista”, disse Roger Barranco, vice-presidente de operações de segurança global da Akamai. Ele acrescentou que o bloqueio de portas de rede como a 389 e a instalação de patches geralmente impedirão que um servidor seja abusado dessa maneira.

    No passado, os DDoSers abusavam de servidores executando outros protocolos amplamente utilizados que foram configurados incorretamente. Quando não configurado corretamente, o memcached, um sistema de cache de banco de dados para acelerar sites e redes, pode amplificar os DDoSes por um fator impensável de 51.000, uma inovação que impulsionou o recorde de 1,7Tbps em 2018. Quatro anos antes, os invasores abusaram do Network Time Protocol em que os servidores confiam para manter os relógios sincronizados na Internet. A técnica, que amplia o tráfego de lixo eletrônico em cerca de 19 vezes, levou aos DDoses de 2014 que derrubaram servidores por Liga dos lendários, EA.com e outros serviços de jogos online.

    Geralmente, quando as configurações incorretas de protocolos ou serviços amplamente utilizados são abusadas em massa, os vigilantes da Internet pressionam os administradores a limpá-los. Quando os administradores finalmente o fazem, os atacantes encontram novas maneiras de aumentar seu poder de fogo. O ciclo continua.

    Um crescimento em bots ameaça jogadores, bancos e você

    Além de aproveitar os métodos de amplificação, o tamanho crescente de DDoSes é o resultado de invasores controlando um número cada vez maior de dispositivos. Enquanto os computadores Windows e Linux Linux já foram o único domínio de redes de bots que enviaram tráfego indesejado, o número crescente de roteadores, câmeras conectadas à Internet e outros dispositivos chamados Internet das coisas também se tornaram participantes ativos.

    No relatório de quinta-feira, Akamai disse que 96% dos endereços IP usados ​​para entregar o recorde de 809 milhões de pacotes por segundo DDoS no fim de semana nunca haviam sido observados antes. O crescente número de dispositivos IoT comprometidos provavelmente está alimentando esse aumento.

    Entre os alvos mais comuns de DDoS estão os jogadores de jogos online e as empresas, plataformas e ISPs de banda larga que usam. As rivalidades entre os jogadores são uma motivação. Outro objetivo é interromper o fluxo de grandes quantias de dinheiro que são frequentemente apostadas nos jogos.

    Instituições financeiras, agências governamentais, organizações de defesa política e varejistas também são marcas frequentes, geralmente por hacktivistas motivados pela ideologia. Às vezes, os DDoSers atacam para exigir resgates para interromper os ataques. Outras vezes, os DDoSers atacam por pura maldade.

    Os alvos pretendidos não são os únicos que sofrem os efeitos adversos dos DDoSes. Tempestades de dados outrora inimagináveis ​​podem sobrecarregar as conexões de pares de ISP, servidores DNS e outras infra-estruturas nas quais pessoas e empresas comuns confiam para comprar, enviar email e executar outras tarefas importantes.

    “A pegada de dano colateral dos ataques DDoS geralmente é muito maior do que o impacto nos alvos pretendidos”, disse Dobbins. “Basta dizer que muito mais pessoas e organizações não envolvidas têm suas atividades interrompidas pelos danos colaterais dos ataques DDoS do que aqueles que são os verdadeiros alvos desses ataques”.


    Artigos Recentes

    Google Home x Amazon Echo

    Se você está pensando em comprar um alto-falante inteligente, pode ficar pensando em qual deles comprar. Nós ouvimos você. Com todas...

    Últimas tendências contábeis: transformando o setor de varejo

    À medida que a ruptura digital está se espalhando pelos setores em todo o mundo, as expectativas dos consumidores estão crescendo em cada...

    A Unity Software teve uma abertura forte, ganhando 31% após preços acima de sua faixa elevada

    Quem disse que você não pode ganhar dinheiro jogando videogame claramente não deu uma olhada no preço das ações da Unity Software. Em seu...

    Da função de suporte ao mecanismo de crescimento: O futuro da IA ​​e do atendimento ao cliente

    Quando se trata de imaginar o futuro, o atendimento ao cliente costuma ser pintado sob uma luz distópica. Veja o filme de...

    Dongle do Google Chromecast com vazamentos remotos antes do evento de 30 de setembro

    O Google já nos disse para esperar um novo produto Chromecast em seu evento de 30 de setembro e agora temos nosso melhor...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui